关于电子签名和认证的法律问题研究
谢波
摘要:在传统交易活动中,“签字盖章”是许多法律的基本要求。但随着网络技术的日新月异,电子签名和认证已经十分普遍。电子签名和认证作为电子商务的重要组成部分,其中的法律问题阻碍了电子交易的进行,也制约了电子商务的发展。本文将对电子签名和认证中的法律问题进行深入的探讨和论述。
关键词:电子签名,认证,电子商务,电子合同,法律问题
在传统交易中,人们常常通过亲笔签名的方式来确保合同当事人身份的真实有效和意思表示的一致。同时,亲笔签名也是许多法律的要求。例如,我国《合同法》第32条规定:“当事人采用合同书形式订立合同的,自双方当事人签字或者盖章时合同成立。”我国《票据法》第4条规定:“票据出票人制作票据,应当按照法定条件在票据上签章,并按照所记载的事项承担票据责任。持票人行使票据权利,应当按照法定程序在票据上签章,并出示票据。”然而,在电子商务环境下,由于合同当事人可能相隔千里,甚至在整个交易过程中并不谋面,这就使传统的亲笔签名方式就很难运用于电子交易。但是,传统的亲笔签名方式所具有的功能,特别是它所具有的证明合同的真实性和完整性的功能,对一直为网络安全问题所困扰的电子商务仍然具有重要的价值。所以,签名的要求在电子商务环境下不仅不应被放弃,反而应该得到强化和更有力的保障。当然,这里所说的签名已经不再是传统的亲笔签名,而是电子签名(Electronic Signature)。
新加坡1998年颁布的《电子交易法》(Singapore Electronic Transactions Act 1998,SETA)对电子签名和数字签名作了相关规定。它将电子签名定义为:“以数字形式所附或在逻辑上与电子记录有联系的任何字母,文字数字或其他符号,并且执行或采纳电子签名是为了证明或批准电子记录”;将数字签名(Digital Signature)定义为:“通过使用非对称加密系统和哈希函数(Hushing Function)来变换电子记录的一种电子签名”。可见,数字签名是电子签名的一种。根据联合国国际贸易法委员会电子商务工作组1999年颁布的《电子签名统一规则(草案)》(Draft Uniform Rule On Electronic Signature)第1条的规定:“‘电子签名’,是指以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,并且它(可以)用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可”。笔者认为这一定义颇值得我国立法的借鉴。
电子签名的主要目的是利用技术的手段对数据电文的发件人身份做出确认及保证传送的文件内容没有被篡改,以及解决事后发件人否认已经发送或者是收到资料等问题。[1]电子签名是法律上一个重要的创新概念,它作为电子认证技术在法律上的总括,得到了许多国家的认可。目前,国际上通用的电子签名主要有以下三种模式:
一、智能卡模式。智能卡是安装了嵌入式微型控制器芯片的IC卡,内储有关自己的数字信息。使用者在使用智能卡时只要在计算机的扫描器上一扫,然后键入自己设定的密码即成。
二、密码模式。使用者可以自己设定一个密码,该密码由数字或字符组合而成。有的单位还提供硬件,让使用者用电子笔在电子板上签名后存储起来,电子板不仅可以记录签名的形状,而且可以记录使用者签名时的力度以及定字的速度等,以防他人盗用签名。
三、生物测定模式。该方法以使用者的生理特征为基础,通过计算机对使用者的指纹、面部等进行数字化的同一认定。
随着电子商务的发展,为了消除电子商务在法律上的障碍,许多国家已经着手研究电子签名的问题。联合国国际贸易法委员会电子商务工作组一直以《电子签名统一规则》作为拟定草案的标题,并得到了许多国家的一致认同。欧盟的相关指令也同样以“电子签名”为题。自世界上第一部电子签名法——美国犹他州于1995年颁布的《数字签名法》以来,迄今为止,国家级的电子商务立法有德国的《数字签名法》和《数字签名条例》、美国的《电子签名法》、意大利的《数字签名法》、爱尔兰的《电子签名法》、马来西亚的《数字签名法》、新加坡的《电子交易法》、韩国的《电子商务基本法》等。从内容上来看,这些法律以电子签名(数字签名)与认证机构的相关规定为主,多数立法文件直接以“电子签名”或“数字签名”为标题。电子签名法不仅能解决电子合同的法律效力、电子交易中的风险和责任分配等基本问题,而且能有效地维护电子商务活动中国家的经济利益,因此在整个电子商务法律体系中占有极其重要的地位。
由于电子合同未必具有传统合同的书面文本,这就使得传统的亲笔签名方式被电子签名所替代。如同传统合同须双方当事人签字盖章方能生效一样,如果电子签名不具有法律效力,则无法使电子合同有效。在传统合同中,亲笔签名或盖章的行为主要有两种功能:一是表明合同当事人的真实身份;二是表明合同当事人愿受合同约束的意思。但在电子商务活动中,传统的亲笔签名方式很难应用于这种电子交易方式。因此,人们开始采用电子签名来证明彼此的身份。
在电子合同上的签名,最大的障碍仍然是技术上的,也就是说现有技术仍不能使当事人像在合同书上签字那样方便、简单。[2]但需要指出的是,一旦从技术上解决了电子签名的问题,电子签名在电子商务中的实用性以及所产生的法律效力将不会低于在传统合同书上的签名。同时,我们还应看到,既然承认电子合同属于书面形式,那么就必须承认电子签名的效力,因为在没有电子签名的情况下,任何人都可以自由地进入计算机系统,并对文件的内容进行篡改,电子合同就很难存在了。
目前,世界各国以及国际组织的立法已有将“电子签名”视为签名的倾向。例如,联合国欧洲经济委员会促进国际贸易程序工作小组认为:只要贸易文件上的签名,能够据以认定文件的来源(即据以追溯出文件的作者)并利用该签名认证该文件,签署文件者就要对文件单据上事项的正确性及完整性负责。[3]《汉堡规则》(Hamburg Rules)第14条规定:“提单上的签字可以用手写、印摹、打孔、盖章、符号或如不违反提单签发地所在国国家的法律,用任何其他机械的或电子的方法。”在我国的实体法中,除法律有特别规定以外,当事人订立合同可以采用书面形式、口头形式和其他形式,而并不以书面形式、签字盖章等方式为要件。就这点而言,与英美法系所强调书面形式和签字盖章等要件才能使合同成立、生效的基本原则有很大的不同。因此,我国对签名或盖章的法律要求在具体法律条文中并未过多涉及。[4]但我国《合同法》采用了一种灵活的方式。我国《合同法》第33条规定:“当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签订确认书。签订确认书时合同成立。”根据这一规定,如果当事人在签订合同时使用了电子签名,既可以不签订确认书,也可以根据实际情况,在合同成立之前要求签订确认书。当然,采用后一种做法可以更加明确合同的真实性,以防电子签名的伪造。
笔者认为,政府相关部门应该积极向大众广为推介说明电子签名的定义、目的、适用范围、使用方法等,然后再由法律提供一套公平合理的游戏规则。通过建立完善的电子签名和电子认证体系,一方面可以促进电子商务的发展,另一方面可以提高人们对电子签名的接纳度并减少电子签名的伪造、变造和其他欺诈行为。
认证是一种证实某人或某事为有效或名副其实的过程,其目标仍然是着眼于“安全”。电子商务的安全问题主要包括两个方面:一、从技术上建立安全认证机制,以确认交易各方身份的真实性以及信息的保密性、完整性和不可抵赖性;同时,利用现代密码技术以及电子签名技术等,来保证电子商务活动的安全。二、当电子商务活动出现差错时,如何运用法律手段解决交易各方的责任以及权利义务关系等问题。在计算机系统或通信中,认证是良好的数据安全措施的一个重要组成部分。电子信息技术的发展极大地增强了人们获得信息的能力,同时也增加了某些敏感或有价值的数据被滥用的风险。如何确保交易对方的主体资格以及交易数据资料的安全,是电子交易各方都极为关注的问题。因此,我们必须保证买卖双方在电子交易中身份的真实可靠。电子认证的作用就在于确认交易双方真实有效的身份。
电子认证与电子签名一样都是电子商务活动中的安全保障机制。它是由特定的第三方机构提供的,对电子签名及其签名者的真实身份进行验证的服务。电子认证主要应用于电子交易的信用安全方面,以保障开放性网络环境中交易人身份的真实可靠。电子认证是确定某个人的身份信息或者是特定的信息在传输过程中未被修改或者替换。[5]
在电子交易过程中,除了交易双方以电子签名的方式来识别彼此的身份和确保传输信息的完整性外,对电子签名本身的认证问题,并不能由交易各方自己完成,而是由一个具有权威性、可信赖性和公正性的第三方来完成,从而为电子交易建立一种有效、可靠的保护机制。此第三方被称为认证机构(Certificate Authority,CA)。认证机构提供电子交易过程中的认证服务,能签发数字证书并能确认用户的真实身份。同时,由于电子商务活动常常是跨国境的,因此交易各方当事人就需要有不同国家的认证机构对各自的身份进行认证,并向电子商务活动的相对方发放电子认证证书。在实践中,就需要各国相互承认对方国家认证机构发放的电子认证证书的效力,以保证电子商务活动的顺利进行。
认证机构在电子商务活动中既不向在线当事人出售任何商品,也不提供资金或劳动力资源,它所提供的服务只是一种无形的证书信息。这种数字证书包含一个公开密钥、交易相对人的姓名以及认证机构的电子签名、密钥的有效时间,发证机关的名称,证书的序列号等。在整个电子交易过程中,认证机构不仅要对进行电子交易的各方当事人负责,还要对整个电子商务的交易秩序负责,因此,它是一个十分重要的机构。
在认证机构的设立上,我们必须强调它应是一个独立的法律实体,即是说它能够以自己的名义提供服务,能够以自己的财产提供担保,同时能在法律规定的范围内独立承担相应的民事责任。认证机构在整个电子交易过程中必须保持中立,它一般不得直接和客户进行商业交易,也不能代表任何一方当事人的利益,而只能通过发布客观的交易信息促成当事人之间的交易。另外,电子认证机构不能以盈利为目的,它应当是一种类似于承担社会服务功能的公共事业。从国外的经验来看,设立专门、独立和非营利性的认证机构是比较合适的作法。
结合国际上电子商务立法的先例,认证机构一般应承担以下义务:一、信息披露与通知义务。其根本目的就在于维护社会公共利益和保护信息弱势群体。二、安全义务。安全可信度是公众对认证机构的要求,认证机构应当采用能够满足条件的安全系统。三、保密义务。认证机构不得对外披露需要保密的信息。此外,认证机构还负有其他义务,如:举证义务,即交易当事人在使用证书过程中发生纠纷,认证机构可以根据交易双方或一方的要求,为其提供举证服务。
同时,认证机构在提供认证服务的过程中会面临许多潜在风险。其风险的种类主要有:(1)运用技术过失致使数字记录丢失;(2)对信息未进行严格审查致使证书含虚假陈述,第三人信赖其陈述,并基于证书的等级进行交易,将损坏认证机构的可信度;(3)未经过合理适当的辨别而终止或撤销证书;(4)由于服务器故障或周期性离线修整而造成认证服务中断;(5)内部人员即认证机构有权访问证书数据库的雇员制作虚假证书或涂改证书记录;(6)外部人员使用多种方法改造认证机构的通用协议;(7)作为网络机构随着技术更新其淘汰率高,服务可能难以长期维持,但是某些长期证书的管理又需要服务一直持续下去不能中断,等等。[6]
由上述认证机构的性质与风险分析可以看出,电子认证的产生与发展将引发电子商务领域的许多新的法律问题,这主要包括:一、数字证书与认证机构的法律地位以及对电子认证的法律监管应得到立法规范,否则无法保障电子认证的有序发展。二、电子认证所面临的风险将引发认证机构的责任问题,因为认证机构有可能在某些场合给证书持有人或证书信赖人造成损失。三、认证机构作为一个在电子商务领域具有重要价值的新型信用服务主体,将会面临许多现实或潜在的执业风险。四、电子认证所应实现的服务标准或技术标准应得到相应的规范与完善,以真正达到保障电子交易安全的目的与价值。基于以上这些法律问题,笔者认为,对于在电子交易中保障网络交易安全以及信用制度起重要作用的电子认证,应在未来的电子商务立法中占据应有的地位。
参考文献:
[1] 蒋坡:“论我国电子商务法律体系和基本架构”,《科技与法律》2002年第2期。
[2] 王利明主编:《电子商务法研究》,中国法制出版社2003年版,第89页。
财政部、国家体改委关于印发《注册会计师执行股份制试点企业有关业务的暂行规定》的通知
财政部 国家体改委
财政部、国家体改委关于印发《注册会计师执行股份制试点企业有关业务的暂行规定》的通知
财政部 国家体改委
根据1997年9月8日财政部发布的关于公布废止和失效的财政规章目录(第六批)废止
各省、自治区、直辖市人民政府,深圳市人民政府,国务院各部委、各直属机构:
为了规范注册会计师执行股份制试点企业的有关业务,维护投资者和债权人的合法权益,我们制定了《注册会计师执行股份制试点企业有关业务的暂行规定》,现印发给你们,请遵照执行。
附件:注册会计师执行股份制试点企业有关业务的暂行
规定
附件:注册会计师执行股份制试点企业有关业务的暂行规定
根据《中华人民共和国会计法》和《中华人民共和国注册会计师条例》的规定,以及国家体改委印发的《股份有限公司规范意见》、《有限责任公司规范意见》的要求,现对注册会计师执行股份制试点企业有关业务问题,作如下规定:
第一条 本规定所指股份制试点企业,是指股份有限公司和有限责任公司。包括正在进行准备待批准实行股份制的企业;已经进行试点但需进行清理、重新报批审定的股份制企业;新设或由现有企业改组的股份制企业。
第二条 凡属规定范围的股份制试点企业,应遵照本规定要求,委托经认可可以办理股份制试点企业业务的会计师事务所执行有关工作。受委托的会计师事务所可以是设在当地的,也可以是设在外地的。
第三条 经财政部或省、自治区、直辖市财政厅(局)批准成立的会计师事务所方可接受委托,派出注册会计师对有限责任公司和股份有限公司中的定向募集公司进行会计查帐验证和其他业务。
第四条 对公开发行股票和股票上市的股份有限公司执行业务的会计师事务所,除具备《注册会计师条例》所规定的要求外,还必须同时具备下述条件:
1.会计师事务所依法批准成立,经登记取得法人资格,内部机构和管理制度比较健全。这类会计师事务所所属不具有法人资格的分支机构,不能单独承办股票公开发行和股票上市公司的会计查帐验证以及其他有关业务;
2.至少有8名具有3年以上会计查帐验证工作经验的专职注册会计师,并有相应的专业水平较高的业务助理人员。其中,执行国内发行B股和境外股票上市业务的会计师事务所,承办的注册会计师和助理人员必须具有一定的外语水平;
3.具有与从事股份制试点企业有关业务所必需的金融、法律专家和其他技术人员;
4.有良好的职业道德记录和社会声誉,在以往3年内,没有发生过较大的工作失误和违反职业道德的行为;
5.建立了风险准备基金,能承担应负的经济责任。
第五条 按照第四条各款的要求,需要执行股票公开发行和股票上市公司业务的会计师事务所,可连同注册会计师名单向主管的财政机关提出申请,详细说明本身所具备的条件,并作出有关职业道德和工作纪律方面的书面保证,经主管财政机关审核后报财政部。财政部经审查符合要求
,用书面方式批准,发给会计师事务所执行股份制企业业务的许可证,发给注册会计师执行股份制企业业务的许可证,并采取适当方式向社会公布。
凡经批准可以执行股票公开发行和股票上市公司业务的会计师事务所中的注册会计师,如果以后调动到不具备执行上述公司业务资格的会计师事务所的注册会计师,应交回许可证,不得再执行上述公司的有关业务;凡从不具备执行上述公司业务资格的会计师事务所调动到具有执行上述
公司业务资格的会计师事务所,该注册会计师应由调入所另行申报其执行上述公司业务的资格,经财政部批准取得许可证以后,始得执业。
未经批准的注册会计师及非注册会计师从事股份制试点企业法定查帐验证业务,不具有法律效力。
第六条 注册会计师对股份制试点企业执行的业务工作,包括:
1.办理资产评估业务;
2.对新设或改组的股份制试点企业资产评估的结果进行检查验证;
3.验证股份制试点企业投入资本;
4.担任股份制试点企业会计帐目、会计报表和其他财务资料的常年会计查帐验证;
5.对股份有限公司的招股说明书进行审核并签证;
6.协助办理股份制试点企业股票上市、包括发行国内A股、B股和境外上市的有关财务会计业务;
7.协助办理股份制试点企业合并或分立有关事项,包括编制或审查有关的会计报表和其他财务资料等;
8.协助股份制试点企业办理股权转让的有关财务会计工作;
9.协助股份制试点企业办理终止与清算事项,包括清查财产和债权债务,验证清算报告和清算期内的凭证、帐册和报表;
10.接受股份制试点企业监事会委托,复审会计报告、营业报告、利润分配方案和其他财务资料;
11.提供有关的管理咨询;
12.其他需要委托注册会计师办理的事项。
第七条 申请执行国有资产评估业务的会计师事务所,按国家有关法律、法规规定,由国有资产管理部门进行资格审定,资产评估结果由国有资产管理部门或其授权机构确认。
第八条 经批准可以执行股票公开发行和股票上市公司业务的会计师事务所,因工作发生严重失误、严重违反职业道德或因人员变动等,不再符合执行这类业务条件的,经主管的财政机关查明情况,报告财政部,由财政部发出停止其执行业务的书面决定,收回证书,并采取适当方式向
社会公布。
第九条 所有执行股份制试点企业业务的会计师事务所,其注册会计师和业务助理人员在办理有关业务中,均须严格按照《注册会计师条例》的规定进行。并须严格遵守国家关于股份制试点企业的有关规定;接受证券监督管理委员会对专业报告、意见书格式与内容的鉴定。在执行有关
业务时,应严格执行财政部和中国注册会计师协会制定发布的注册会计师执行业务的有关规定、规则和程序。包括:
1.《注册会计师检查验证会计报表规则》;
2.《注册会计师验资规则》;
3.《注册会计师查帐验证工作底稿规则》;
4.《注册会计师查帐验证报告规则》;
5.《注册会计师查帐验证计划规则》;
6.《注册会计师管理建议书规则》;
7.《中国注册会计师职业道德守则》;
以及今后继续发布的有关规定、规则。
第十条 股份制试点企业因发行B股而公布的会计报表,须经中国注册会计师进行审查和出具查帐报告,如境外包销银行要求委托境外会计师事务所进行查帐,应事先经上市公司管理当局同意,并由委托的包销银行负担境外会计师的查帐费用。但委托的会计师事务所,须是在中国境内
设有常驻代表机构的国际会计公司在境外的会计师事务所。中国注册会计师和境外会计师在查帐中,可以进行合作,但应各自出具查帐报告。对于B股发行后需每年公布的会计报表,除继续委托中国注册会计师进行审查和出具查帐报告外,如果境外证券交易管理机构认为仍需境外会计师事
务所进行查帐,则改由上市公司委托并自行承担查帐费用,其所委托的境外会计师事务所,亦按上述原则办理。
对于境外股票上市企业的业务,除必须委托中国注册会计师办理并出具有关报告外,当地证券交易管理机构对委托办理业务的会计师有要求的,可按其规定由企业委托并自行承担查帐费用。委托的会计师事务所以及中国注册会计师和境外会计师在办理业务中的关系,按上款同样原则处
理。
第十一条 在注册会计师同委托企业的关系中,必须保持应有的独立性,并遵守回避和保密原则。如果会计师事务所的挂靠单位是股份制试点企业的发起人或股东,或会计师事务所负责人与股份制试点企业负责人或会计主管人员是近亲或有利害关系以及其他可能影响执业公正性的关系
,该会计师事务所不得承办这一股份制试点企业的会计查帐验证和其他不宜承办的业务。如果会计师事务所的某个注册会计师同股份制试点企业有上述类似关系的,按同样原则实行回避。会计师事务所所有参与股份制试点企业业务的人员,具有《中华人民共和国民事诉讼法(试行)》第四
十条规定情形之一的,均应自行回避。
第十二条 执行股票上市公司业务的会计师事务所,除遵守第十一条的各项规定外,不得委派拥有股票上市公司股票的注册会计师及其助理人员担任该公司的会计查帐验证,并应遵守其他应当回避的事项。注册会计师拥有上市公司股票,必须向本会计师事务所如实报告,并记录在案,
以便确实做到回避,防止发生内幕交易。
第十三条 经批准执行股份制试点企业业务的会计师事务所,应当对其担任这一业务的注册会计师和业务助理人员进行相应的培训,使其了解国家的有关规定,熟悉各项工作标准和程序。其中需要具有专门资格要求的,应当取得有关的合格证书。
第十四条 执行股份制试点企业业务的会计师事务所,除严格要求其注册会计师和业务助理人员遵守有关的规定、规则和程序外,须对其工作结果和提出的报告承担法律责任,包括:
1.因工作失误导致的经济赔偿:包括会计师事务所和注册会计师以及承办业务的行为人、直接责任人,其赔偿数额由主管的财政机关作出决定。涉及上市公司业务需要赔偿的部分,主管的财政机关作出决定后,应当通知证券监督管理机构;
2.因注册会计师有意提供虚假、误导报告,或串通企业工作人员进行舞弊而致使企业或所有人遭受损失的,除没收业务收入所得,同时按第一款规定进行经济赔偿外,并对行为人或直接责任人进行经济处罚。经济处罚的决定,可以由会计师事务所作出,也可以由主管的财政机关作出
并通知执行,并通知证券监督管理机构;
3.上述第1款、第2款发生的情况,除经济赔偿和处罚外,还应视情节轻重,由主管的财政机关决定对会计师事务所和行为人、直接责任人给予必要的行政处分,包括对会计师事务所给予警告、停业整顿、责令解散等,对注册会计师给予警告、暂停执行业务、吊销注册会计师证书等
。对构成犯罪的行为人和直接责任人,应提请司法机关依法追究刑事责任;
4.对于因国家有关法规不健全,或因有关制度不合理而造成注册会计师的工作结果和报告有损企业或所有人合法权益的,注册会计师应当在报告中或采取其他书面方式说明情况,提请有关机关予以改进。
第十五条 各省、自治区、直辖市财政厅(局)可以根据当地实际情况的需要,拟定对本规定的具体实施办法,或在不违反本规定原则的基础上,作出补充规定。实施办法或补充规定须报财政部备案。
第十六条 本规定由财政部负责解释。
第十七条 本规定自公布之日起试行。
1992年9月17日